Conectando-se a AWS serviços de dentro da sua VPC - Amazon Elastic Container Service
nat gatewayAWS PrivateLink

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conectando-se a AWS serviços de dentro da sua VPC

Para que o Amazon ECS funcione adequadamente, o agente de contêiner do ECS executado em cada host deve se comunicar com o plano de controle do Amazon ECS. Se você estiver armazenando suas imagens de contêiner no Amazon ECR, os hosts do Amazon EC2 devem se comunicar com o endpoint do serviço Amazon ECR e com o Amazon S3, onde as camadas de imagem são armazenadas. Se você usa outros AWS serviços para seu aplicativo em contêineres, como dados persistentes armazenados no DynamoDB, verifique se esses serviços também têm o suporte de rede necessário.

nat gateway

Usar um gateway NAT é a maneira mais fácil de garantir que suas tarefas do Amazon ECS possam acessar outros AWS serviços. Para obter mais informações sobre essa abordagem, consulteUsando uma sub-rede privada e um gateway NAT.

Diagrama mostrando a arquitetura de uma rede usando um gateway NAT.

A seguir estão as desvantagens de usar essa abordagem:

  • Você não pode limitar os destinos com os quais o gateway NAT pode se comunicar. Você também não pode limitar os destinos com os quais sua camada de back-end pode se comunicar sem interromper todas as comunicações de saída da sua VPC.

  • Os gateways NAT cobram por cada GB de dados que passam. Se você usar o gateway NAT para baixar arquivos grandes do Amazon S3 ou fazer um grande volume de consultas ao banco de dados no DynamoDB, você será cobrado por cada GB de largura de banda. Além disso, os gateways NAT suportam 5 Gbps de largura de banda e escalam automaticamente até 45 Gbps. Se você rotear por meio de um único gateway NAT, os aplicativos que exigem conexões de largura de banda muito alta podem encontrar restrições de rede. Como solução alternativa, você pode dividir sua carga de trabalho em várias sub-redes e dar a cada sub-rede seu próprio gateway NAT.

AWS PrivateLink fornece conectividade privada entre VPCs, AWS serviços e suas redes locais sem expor seu tráfego à Internet pública.

Uma das tecnologias usadas para fazer isso é o VPC endpoint. Um VPC endpoint permite conexões privadas entre sua VPC e os serviços compatíveis AWS e os serviços de VPC endpoint. O tráfego entre a sua VPC e os outros serviços não sai da rede da Amazon. Um VPC endpoint não exige um gateway de internet, gateway privado virtual, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias do Amazon EC2 em sua VPC não exigem endereços IP públicos para se comunicar com os recursos no serviço.

O diagrama a seguir mostra como a comunicação com AWS os serviços funciona quando você usa VPC endpoints em vez de um gateway de internet. AWS PrivateLink provisiona interfaces de rede elásticas (ENIs) dentro da sub-rede, e as regras de roteamento de VPC são usadas para enviar qualquer comunicação ao nome do host do serviço por meio da ENI, diretamente para o serviço de destino. AWS Esse tráfego não precisa mais usar o gateway NAT ou o gateway da Internet.

Diagrama mostrando a arquitetura de uma rede usando AWS PrivateLink

A seguir estão alguns dos endpoints de VPC comuns usados com o serviço Amazon ECS.

Muitos outros AWS serviços oferecem suporte a endpoints de VPC. Se você faz uso intenso de qualquer AWS serviço, consulte a documentação específica desse serviço e saiba como criar um VPC endpoint para esse tráfego.